1、前言
隨著人們對虛擬化認(rèn)識的逐步深入,虛擬化應(yīng)用越來越廣泛,作為虛擬化領(lǐng)域先行者和領(lǐng)導(dǎo)者的VMware,其虛擬化解決方案已經(jīng)在許多企業(yè)生根落地,取得了良好的應(yīng)用效果。隨著虛擬化從企業(yè)的邊緣應(yīng)用進(jìn)入核心應(yīng)用,用戶在享受虛擬化益處的同時,必須認(rèn)識到虛擬化技術(shù)帶來的安全風(fēng)險,針對性地采取技術(shù)防范措施,才能既利用虛擬化好處又保證信息系統(tǒng)安全。
虛擬化的安全風(fēng)險表現(xiàn)在多個方面,物理硬件、虛擬化層、網(wǎng)絡(luò)架構(gòu)、虛擬機備份、身份鑒別與訪問控制、虛擬機系統(tǒng)服務(wù)、補丁管理和病毒與惡意代碼等方面都不同程度存在著安全風(fēng)險。物理硬件的安全風(fēng)險在于如果選擇不支持虛擬機的物理硬件則不能較好發(fā)揮虛擬機的優(yōu)勢。虛擬化層直接與物理硬件和客戶端操作系統(tǒng)通訊,擁有大量對主機操作系統(tǒng)和硬件的高級訪問權(quán)限,虛擬機感知式惡意軟件(如RedPill)以及rootkits軟件(如BluePill),就是利用虛擬化層來攻擊整個虛擬機環(huán)境。虛擬化環(huán)境中存在著四種網(wǎng)絡(luò):管理網(wǎng)絡(luò)、存儲網(wǎng)絡(luò)、虛擬機網(wǎng)絡(luò)以及Vmotion虛擬機遷移網(wǎng)絡(luò),如果虛擬化管理員不隔離這些網(wǎng)絡(luò),就有可能出現(xiàn)一些大的安全漏洞 。虛擬服務(wù)器在大多數(shù)方面都等同于物理服務(wù)器,因此在系統(tǒng)備份、身份鑒別與訪問控制、虛擬機系統(tǒng)服務(wù)、補丁管理和病毒與惡意代碼等方面都與物理服務(wù)器的安全風(fēng)險類似,但由于虛擬化的主要目標(biāo)之一就是大幅度提高主機的資源利用率,閑置的資源很少,注定了虛擬化環(huán)境的安全防護(hù)措施既要使用傳統(tǒng)的安全技術(shù)手段,又要結(jié)合虛擬機的特殊性,采取新的技術(shù)措施。
虛擬化層(hypervisor層)是虛擬化軟件系統(tǒng)的核心層,理應(yīng)由虛擬化廠商來能保證其安全性。目前VMware已經(jīng)提供了與VMware hypervisor整合的VMsafe開放技術(shù)平臺,為Trend、Symantec、McAfee這樣的獨立安全企業(yè)提供了比惡意程序更高的執(zhí)行權(quán)限I2]。利用VMware虛擬化軟件所具備的內(nèi)視能力(introspection)防止惡意程序與其他網(wǎng)頁威脅入侵企業(yè)網(wǎng)絡(luò),并能夠?qū)﹃P(guān)機狀態(tài)下的VMware虛擬機進(jìn)行掃描,待問題清除之后才啟動機器。
本文主要從物理硬件、網(wǎng)絡(luò)架構(gòu)、虛擬機備份、身份鑒別與訪問控制、虛擬機系統(tǒng)服務(wù)、補丁管理和病毒與惡意代碼等幾個方面提出保障虛擬化安全的技術(shù)措施。
2、保障虛擬化安全的措施
虛擬機的安全問題是比較復(fù)雜的問題,在安全部署方面,不僅僅要考慮到虛擬機本身系統(tǒng)的安全,還要考慮其宿主機及網(wǎng)絡(luò)環(huán)境的安全,因此傳統(tǒng)的安全工具和方法通常需要升級,才能夠更好地應(yīng)用于虛擬化環(huán)境。同時,在選擇新的工具和方法時,需要考慮與虛擬化技術(shù)的兼容性,不僅僅是單個產(chǎn)品與虛擬機之間的可操控性,更要求整個虛擬環(huán)境的可操控性。下面來分析保障虛擬化環(huán)境安全的具體措施。
2.1 選擇合適的主機硬件
由于不支持虛擬化的主機可能帶來潛在的安全風(fēng)險,而且各虛擬化廠商都有其虛擬機兼容硬件列表,因此應(yīng)投資購買支持虛擬機的硬件。
虛擬機的資源需求計算是很復(fù)雜的,通常采用以下計算公式來進(jìn)行估算:
硬件資源需求=H+G1+G2+G3+?+GN+0
在這個公式里,H=虛擬機軟件所需資源,G=虛擬機操作系統(tǒng)所需資源+應(yīng)用程序所需資源,0=額外開銷。
2.2 細(xì)化網(wǎng)絡(luò)設(shè)置、進(jìn)行分區(qū)隔離
在虛擬環(huán)境中,系統(tǒng)的隔離和分區(qū)是十分重要的,因為盡管一個虛擬機的虛擬硬件與其他虛擬機的虛擬硬件是相互隔離的,但虛擬機的底層網(wǎng)絡(luò)通常是共享的,接入這樣一個共享網(wǎng)絡(luò)的任何虛擬機或虛擬機組都可以通過這些網(wǎng)絡(luò)鏈路進(jìn)行通信,因此,它們有可能成為網(wǎng)絡(luò)中的攻擊目標(biāo)。
隔離虛擬網(wǎng)絡(luò)既可以按照位置分開虛擬機,即把公共的虛擬機與專用的虛擬機分開,也可以按照服務(wù)類型分開虛擬機,如把系統(tǒng)管理類虛擬服務(wù)器、應(yīng)用程序類虛擬服務(wù)器和數(shù)據(jù)庫虛擬服務(wù)器分開。將各組虛擬機隔離在它們各自的網(wǎng)絡(luò)分段中,即不同的VLAN中,借以最大限度地降低數(shù)據(jù)通過網(wǎng)絡(luò)從一個虛擬機分區(qū)泄漏到另一個虛擬機分區(qū)的風(fēng)險。實際上,對網(wǎng)絡(luò)進(jìn)行分段可以降低多種類型的網(wǎng)絡(luò)攻擊風(fēng)險,其中包括地址解析協(xié)議ARP欺騙。將網(wǎng)絡(luò)分段還有另一個好處,即簡化了進(jìn)行合法性審計的過程,這是因為通過網(wǎng)絡(luò)分段,用戶能夠清楚地了解網(wǎng)絡(luò)中連接了哪些類型的虛擬機,從而進(jìn)行分類管理。
2.3 選擇適用的虛擬機備份方案
虛擬機備份的主要問題在于虛擬機的閑置資源比較少,而備份應(yīng)用會消耗大量服務(wù)器的輸入/輸出、CPU和內(nèi)存資源,如果多個備份計劃重疊執(zhí)行,就會因占用過多系統(tǒng)資源而嚴(yán)重影響應(yīng)用系統(tǒng)的運行效率l6]。因此傳統(tǒng)的備份方案不能照搬到虛擬化環(huán)境,那么應(yīng)該怎樣選擇合適的虛擬機備份方案呢?高效適用的虛擬機備份產(chǎn)品和方案應(yīng)具備以下特點:
1)能夠為附屬于客戶端虛擬機的虛擬硬盤創(chuàng)建快速、空間高效的高性能快照;
2)利用可感知應(yīng)用程序的備份方案,對這些快照的創(chuàng)建和管理進(jìn)行整合;
3)能夠訪問服務(wù)器上的快照而不是運行活動虛擬機的快照,這對于將備份負(fù)載及其附帶的資源消耗從活動的應(yīng)用程序中分開是至關(guān)重要的;
4)擁有長期在線可用的快照,大多數(shù)快照具有空間高效功能,這意味著基鏡像(base image)及其子快照中的數(shù)據(jù)塊僅保持一次。這樣就可以廉價地長期保存許多快照,使得從快照中快速恢復(fù)數(shù)據(jù)變得簡單可行;
5)具備增量備份功能。虛擬機鏡像文件一般很大,通常數(shù)十個GB,如果備份軟件能感知上次備份之后鏡像的哪些部分發(fā)生了變化而進(jìn)行增量備份,那么它的效率就可以變得更高。
2.4 利用雙重身份認(rèn)證提高安全性
虛擬化環(huán)境中用戶身份認(rèn)證是十分重要的安全環(huán)節(jié),現(xiàn)在很多企業(yè)建立了域管理模式,通過域控制器集中管理用戶賬號和計算機資源,用戶訪問企業(yè)資源首先需要經(jīng)過AD身份認(rèn)證,但僅使用用戶名+密碼的方式進(jìn)行身份認(rèn)證,即使設(shè)置了強密碼,依然存在攻擊者暴力破解的風(fēng)險,如果使用域認(rèn)證十Ukey認(rèn)證的雙重身份認(rèn)證方式,則可以大為降低身份認(rèn)證方面的安全風(fēng)險。圖1介紹了在VMware虛擬化環(huán)境中使用域認(rèn)證+Ukey雙重身份認(rèn)證的認(rèn)證流程。
域認(rèn)證+Ukey雙重身份認(rèn)證流程說明:
- 用戶在瘦客戶端或PC機上運行View Client,連接到虛擬化會話管理中心;
- 會話管理中心將用戶名和密碼發(fā)送到AD身份認(rèn)證服務(wù)器,進(jìn)行域身份驗證;
- 域身份驗證通過后,從虛擬桌面服務(wù)器返回用戶自己的虛擬桌面,顯示Ukey登錄驗證界面;
- 用戶通過自己的虛擬桌面輸入Ukey的PIN碼;
- Ukey認(rèn)證服務(wù)器驗證PIN碼;
- Ukey認(rèn)證服務(wù)器與AD交互域用戶信息;
- Ukey認(rèn)證通過后,登錄用戶自己的虛擬桌面;
完成域認(rèn)證+Ukey雙重身份認(rèn)證的用戶即可使用單
點登錄方式訪問應(yīng)用系統(tǒng)。
2.5 分權(quán)進(jìn)行訪問控制
VMware虛擬化環(huán)境集中管理控制臺VCenter的本地管理員(超級管理員)擁有最大的管理員權(quán)限,即擁有虛擬化環(huán)境下的所有特權(quán)操作權(quán)限,如果該用戶濫用特權(quán),則可能對整個虛擬化環(huán)境造成無法估量的損失。為了化解該風(fēng)險,應(yīng)該采取分權(quán)制約的方式。具體分權(quán)方案如下:
1)定義系統(tǒng)管理員、安全管理員、安全審計員三個角色(簡稱系統(tǒng)三員),系統(tǒng)三員彼此之間不得兼任;
2)在網(wǎng)絡(luò)主干防火墻上設(shè)置僅系統(tǒng)三員負(fù)責(zé)使用的IP地址能夠遠(yuǎn)程訪問虛擬機管理中心VCenter,而且盡可能使用通信加密手段,如使用HTTPS、TLS或SSH來遠(yuǎn)程管理VCenterl3]。VCenter的本地管理員密碼由系統(tǒng)管理員和安全管理員分段掌握(每段都應(yīng)該設(shè)置強密碼),只有當(dāng)這兩位管理員同時在場并分別輸入正確的密碼時,才能執(zhí)行本地管理員的特權(quán)操作;
3)在VCenter和虛擬桌面管理器view Manager中創(chuàng)建三個角色:系統(tǒng)管理員、安全管理員、安全審計員,并分別進(jìn)行權(quán)限設(shè)置:
系統(tǒng)管理員可以進(jìn)行日常虛擬機創(chuàng)建和數(shù)據(jù)中心維護(hù)工作,但不能刪除虛擬機和審計VCenter系統(tǒng)日志;安全管理員負(fù)責(zé)桌面資源池的日常創(chuàng)建和桌面資源池的授權(quán)以及廢止虛擬機的刪除,不能審計VCenter系統(tǒng)日志;
安全審計員擁有VCenter數(shù)據(jù)中心的系統(tǒng)日志審計權(quán)限,主要審計系統(tǒng)管理員和安全管理員的操作情況。這樣系統(tǒng)三員權(quán)限彼此制約,各自獨立完成日常工作,僅當(dāng)需要進(jìn)行特權(quán)操作時,才由系統(tǒng)管理員和安全管理員同時在場操作,實現(xiàn)系統(tǒng)三員共同管理虛擬化環(huán)境的目標(biāo)。
2.6 合理配置、加固系統(tǒng)、降低風(fēng)險
通過合理配置,終止和禁用不必要的服務(wù),可保持虛擬機操作系統(tǒng)的精簡,減少被攻擊的機會。具體措施如下:
1)禁用部分功能。對單一操作系統(tǒng)的虛擬機來說,關(guān)閉屏幕保護(hù)、磁盤碎片整理、搜索工具(比如搜索磁盤內(nèi)的文件)、文件完整性檢查、日志和日志分析工具、系統(tǒng)更新、空閑檢測等功能,都不會影響虛擬機運行;
2)慎用文件共享功能。除非有業(yè)務(wù)需要,明確要求文件共享,否則應(yīng)禁用文件共享功能;
3)設(shè)置時間同步。一般可以將物理域控服務(wù)器配置為時間服務(wù)器,宿主服務(wù)器和其他虛擬服務(wù)器的NTP源都指向該服務(wù)器;
4)斷開不使用的設(shè)備。虛擬技術(shù)允許虛擬機直接或間接控制物理設(shè)備,如軟驅(qū)、光驅(qū)、USB接口、打印機等。在虛擬機啟動的時候,它們會檢測這些硬件設(shè)備,如果多個虛擬機同時啟動,則第一個啟動的虛擬機優(yōu)先使用,其他虛擬機的檢測會被鎖定,這會造成不必要的啟動延遲。另外,如果光驅(qū)驅(qū)動器里的光盤含有惡意代碼,虛擬機可能會自動加載并執(zhí)行,類似于自動運行的功能,從而感染病毒或木馬。安全的做法是關(guān)閉所有可控制的物理設(shè)備,只在需要的時候才允許連接。
2.7 妥善解決補丁更新問題
虛擬機的快速增長給補丁更新帶來了沉重負(fù)擔(dān)。要保證虛擬機始終安裝最新的補丁,對于擁有數(shù)百個虛擬機鏡像庫的企業(yè)來說,將是一項十分繁重的任務(wù)。企業(yè)IT部門應(yīng)該制定虛擬機補丁更新的規(guī)范流程,這個流程除了要求解決正在運行的虛擬機的補丁狀態(tài)問題外,還應(yīng)要求虛擬機管理員經(jīng)常檢查關(guān)閉的虛擬機的補丁狀態(tài),同時定期更新虛擬機模板,保證用來創(chuàng)建新虛擬機的鏡像模板內(nèi)安裝的軟件版本是最新的。
2.8 尋找解決病毒與惡意代碼問題的新方案
由于虛擬化環(huán)境的特殊性,采用傳統(tǒng)的病毒和惡意代碼解決方案解決虛擬機的防病毒問題,存在如下問題:
1)在每個虛擬機上都部署防病毒軟件,會占用很多的ESX Server的資源,如:CPU、內(nèi)存、I/O等,造成虛擬化密度低,影響投資效益;
2)如果全部防病毒軟件同時進(jìn)行系統(tǒng)掃描,會形成“病毒風(fēng)暴”,把ESX Server的資源全部吃滿,甚至造成宕機;
3)虛擬機存在使用和關(guān)閉兩種情況,對于關(guān)閉的虛擬系統(tǒng)是不能夠進(jìn)行病毒庫升級的,但是這個虛擬機和虛擬化平臺底層是可以通信的,所以很容易被利用造成破壞。因此我們需要選擇專為虛擬環(huán)境所打造的防病毒解決方案,此方案的特點是只在每臺宿主物理服務(wù)器上安裝一次,即可達(dá)到如下防護(hù)效果:
1)提升硬件服務(wù)器的使用率。即相同硬件能提高虛擬機密度;
2)簡化管理。能通過一次性的安裝部署,實現(xiàn)以主機為單位的保護(hù)管理;
3)能實現(xiàn)自動繼承的保護(hù)。也就是說虛擬鏡像可即裝即防,裸機也能立即保護(hù)。
對于已經(jīng)在虛擬化環(huán)境采用了傳統(tǒng)的病毒和惡意代碼解決方案的用戶,則應(yīng)該細(xì)化虛擬機的病毒防護(hù)策略,對虛擬機實行分時升級和病毒掃描策略,避免所有虛擬機同時升級和掃描形成“病毒風(fēng)暴”而導(dǎo)致系統(tǒng)服務(wù)異常,同時虛擬機管理員還應(yīng)定期開啟關(guān)閉的虛擬機進(jìn)行病毒庫升級和掃描。
3、結(jié)語
本文在分析基于VMware虛擬化環(huán)境存在的安全風(fēng)險的基礎(chǔ)上,提出了降低風(fēng)險的技術(shù)保障措施,并成功應(yīng)用于某VMware虛擬化的實施部署項目中。該虛擬化實施項目重點從物理硬件選擇、網(wǎng)絡(luò)架構(gòu)規(guī)劃、身份鑒別與訪問控制方案設(shè)計、虛擬機系統(tǒng)服務(wù)配置等方面著手,多管齊下,綜合利用多種虛擬化安全防護(hù)技術(shù),保證了VMware虛擬化建設(shè)項目順利實施,并安全穩(wěn)定運行了兩三年。今后隨著各種核心業(yè)務(wù)系統(tǒng)逐步遷移到VMware虛擬化環(huán)境,還需要考慮的安全措施是部署整個虛擬化環(huán)境的快速災(zāi)難恢復(fù)機制,并采用針對虛擬化環(huán)境的病毒與惡意代碼解決方案,實現(xiàn)批量虛擬機離線殺毒 ,在進(jìn)一步提高虛擬化安全性的前提下,充分整合數(shù)據(jù)中心資源,打造低碳環(huán)保、綠色節(jié)能高效的數(shù)據(jù)中心。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:VMware虛擬化的安全分析
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083974574.html